資訊科技與倫理/物聯網 (IoT)

物聯網 (IoT)

介紹
自從數字計算機系統誕生以來，計算機的尺寸不斷縮小，功能不斷增強。從房間大小的主機開始，計算機已經從龐大的桌上型電腦發展到公文包筆記型電腦，再到手機和平板電腦。下一個合乎邏輯的步驟是擴充套件到物聯網 (IoT)。物聯網由所有現在具有利用網際網路和網路基礎設施來提高系統功能的裝置組成 (Poudel, 2019 p. 997)。

常見用途包括大多數傳統計算機、平板電腦和智慧手機之外的裝置。現代物聯網裝置的一些例子包括汽車、烤麵包機、燈泡、恆溫器、門鎖等等。一個更具體的例子是 Nest 恆溫器。這款裝置透過提供傳統的接線連線來取代傳統的恆溫器。連線後，這款裝置能夠利用網際網路提供 24/7 全天候訪問您的家庭恆溫器。您可以透過移動應用程式隨時更改溫度。此外，Nest 還能夠根據時間表進行程式設計，檢測溫度變化或居民的接近程度，並根據這些條件對住宅進行加熱或冷卻 (Poudel, 2019 p.998)。最初的想法是，Nest 恆溫器能夠透過這些新功能來減少浪費的能源數量。

物聯網仍然相對較新，並且隨著新想法和功能被新增到日常用品中，它正在快速發展。物聯網的理念是提供一個相互連線的裝置網路，這些裝置可以使用來自其他裝置的資訊做出更明智的決策。這目前可能存在問題，因為許多物聯網裝置與其他物聯網裝置不相容。這意味著物聯網裝置的製造或實施沒有標準。缺乏標準可能會導致許多安全和隱私問題，無論是從技術角度還是法律角度。

儘管物聯網技術的進步為使用者帶來了易用性，但也引發了人們對其使用者隱私的擔憂。由於製造商一直在收集資料，這會對裝置使用者的隱私構成威脅。這些資料包括敏感資訊，並且經常與其他第三方共享以用於收集和廣告目的。這種敏感資料的收集有時是直接透過感測器進行的，有時是間接透過推斷進行的 (Poudel, 2016, p.1013)。這種資料收集，無論直接或間接，都包括但不限於：個人健康資訊，例如體重、心跳、使用者人口統計資訊和駕駛習慣。一個例子是收集來自用於鍛鍊的物聯網裝置的資料，製造商可以透過分析使用者的鍛鍊程式、鍛鍊頻率、完成一定距離所需的時間以及心率如何隨每項活動變化，推斷出使用者的飲食、心臟狀況和壓力水平。

在一篇名為“物聯網與隱私侵權的潛在補救措施”的文章中，作者闡明瞭一些關於這些裝置產生了多少資料的關鍵事實和統計資料，並透露根據 FTC 的說法，“少於 10,000 戶使用物聯網家庭自動化產品的家庭可以‘每天產生 1.5 億個離散資料點，或每個家庭每秒約 1 個數據點’” (Tran, 2017, p.268)。這表明物聯網裝置生成的資料正在與日俱增，這引起了人們對資料聚合問題的關注，資料聚合問題有助於分析和組合這些資料，為使用者建立數字檔案，這些檔案可以被保險公司等組織用於自身利益，但也可能對使用者構成潛在的劣勢。

雖然許多使用者意識到自己的隱私存在風險，但他們仍然選擇繼續使用物聯網裝置，因為這項技術提供了便利性和易用性。另一方面，大多數使用者在註冊使用這些裝置時，通常不會閱讀隱私和披露宣告，並同意其中列出的所有條款。大多數情況下，這些宣告很難閱讀，也很難完全理解。此外，使用者沒有時間閱讀如此冗長的宣告，通常決定同意列出的使用條款，而沒有閱讀或理解這些條款。雖然有人可能認為有必要制定更嚴格的規定，但這種技術正在飛速發展，目前的法律界已經難以跟上並經常更新與物聯網技術相關的規定。

雖然物聯網裝置在改變和幫助我們做事的方式（尤其是在商業領域）方面非常出色，但它們本身在安全性方面也很糟糕，並且在確保它們儘可能安全方面往往被忽視。任何連線到網際網路的東西都會導致駭客潛入組織的潛在途徑，考慮到物聯網裝置儲存和使用的大量個人資訊，這一點尤其令人不安。以下列表只是在企業環境中安裝物聯網裝置時需要考慮的一些安全缺陷。

許多開發人員預設將資料儲存為原始儲存形式，因為他們有足夠的容量這樣做。但考慮到執法部門可以輕鬆傳喚這些資訊並將其用於起訴個人，評估物聯網裝置如何收集資料以及這些資料如何被用來對抗個人是現代風險評估的一部分 (Council, 2018)。實施定義明確資料收集規則的策略，並確保收集到的資料是匿名的，可以幫助緩解使用原始資料儲存的一些問題。

在安全性方面，物聯網裝置在企業環境中經常被忽視。在物聯網之前，IT 部門只需要確保業務中使用的伺服器和系統需要安全，但隨著物聯網裝置的出現，其中大多數裝置都連線到網際網路，企業應該確保所有物聯網裝置都定期更新，如果裝置沒有足夠的安全性，則一開始就不應整合這些裝置，並且物聯網裝置可能需要與連線包含敏感資料的伺服器的主網路分開。但這 kind of 隔離在某種程度上否定了物聯網裝置本身的目的，因為這些裝置旨在相互連線並形成一個可信的網路，從而有助於自動化流程 (Gilchrist, 2017,p.23) 問題出現的原因是許多物聯網製造商沒有為其裝置提供定期更新，有時 IT 部門在安裝更新時 simply 忽略了這些裝置。

有時駭客出於惡作劇的目的而採取行動，就像物聯網裝置歷史上最大規模的入侵事件一樣。一名駭客向世界各地線上的列印機發送了白人至上主義文獻，這證明了物聯網裝置的缺陷，讓 IT 界感到恐懼。只有在經過充分測試並證明安全之後，才謹慎採用新技術，這可能是防止此類事件再次發生的辦法。

隨著物聯網裝置遍佈我們周圍，並可遠端訪問，收集個人和群體行為和行動資訊的新方法出現了。保護這些資訊免遭外部入侵和落入壞人之手是必須的，企業需要仔細研究可用的解決方案，例如資料加密，以確保員工資訊的保護。

如前所述，許多物聯網裝置製造商要麼更新速度非常慢，要麼根本不更新。問題不是特定裝置是否會被入侵，而是它被入侵只是時間問題。更新週期需要頻繁，安全更新需要在發現漏洞後立即推送。

從最近的 Facebook 資料洩露事件中我們可以看到，即使是投入數十億美元用於安全防範的頂級公司，也無法免受威脅。鑑於物聯網裝置收集和在擁有眾多參與者的網路之間共享的資訊量和使用模式，不難看出未來資料洩露是不可避免的。需要制定安全措施，以及在發生資料洩露時處理和最小化損害的行動計劃。

物聯網裝置會產生大量需要處理和儲存的資料。“隨著企業透過物聯網收集更多資料，他們必須注意不要在未安全儲存和符合國際隱私標準的情況下收集個人資料。” (Council, 2018)。

如果駭客獲得了大量物聯網裝置的訪問許可權，他們可以使用這些裝置向這些裝置連線的伺服器和基礎設施傳送大量請求，從而有效地使它們過載。亞馬遜、谷歌和 Facebook 等大型公司都是攻擊的目標，未來可能成為此類攻擊的目標。企業應該制定備用計劃或回退方案，以防在 DDoS 攻擊成為現實，這些服務不再可用時，他們失去對這些技術的訪問許可權。

如果敏感資料儲存在本地，而物聯網裝置連線到同一個網路，那麼物聯網資料洩露可能會提供對敏感資料的訪問許可權。將敏感資料（例如用於定期計費的信用卡資訊）儲存在 PayPal Pro、Authorize 等平臺上的其他地方，可以在發生資料洩露時對其進行保護。如果必須在本地儲存資料，則必須使用強加密，以確保在資料落入壞人之手時無法讀取。

由於存在普遍的安全問題，組織和技術需要應對這些數字威脅。由於物聯網是一個相對較新的概念，擁有眾多製造商，消費者在購買聯網電子產品時有很大的選擇餘地。這種自由伴隨著巨大的責任，如果不是負擔，那就是確保這些物品的安全。物聯網產品的加密、安全協議和持續更新需要成為購買者首要關注的問題。更重要的是，生產者需要用強健的安全標準來彌補競爭者之間缺乏協調。在這些創新變得更加普遍之前 (Poudel, 2016, p.1016)，許多家庭和企業系統使用網路範圍的防火牆和安全軟體，試圖在惡意內容到達脆弱的物聯網裝置之前對其進行過濾。

一些安全協議已經發展成為透過道德上值得懷疑的方式變得更加安全。深度資料包檢測 (DPI) 就是一個典型的例子，它是一種快速且固有入侵性的方法，允許防火牆檢視流經它的資料包的內容。這不僅提供了來自網路的資料流的預覽，而且還提供了可應用於高速連線的處理速度。雖然它最初的應用僅僅是為了安全，但它已成為網路基礎設施監控的核心 (Corwin, 2011, 311-314)。這種用於快速深入安全性的工具不應以滑坡謬論為由而被禁止，而應該得到像 FCC 這樣的組織的監督和審查。借鑑 GDPR 的一些優勢，需要提高物聯網安全工具（如 DPI）的使用透明度，以確保它們以對安全有效且尊重隱私的方式實施。這些新技術的安全風險和益處應該讓消費者有所瞭解 (Wachter, 2018b, p.278)。

隨著更多裝置互聯，對例行維護和漏洞檢查的需求也越來越大。用於入侵物聯網裝置的方法正在發生變化，以繞過上述安全措施，2016 年的 Mirai 攻擊就是明證，該攻擊使美國東北部網際網路的大部分癱瘓 (Adryan, Fremantle, Obermaier, 2017, p.381-382)。

這得益於大約 100,000 個物聯網裝置被入侵，從而對一系列 DNS 伺服器發動了統一的殭屍網路 DDoS 攻擊。大多數裝置是家庭安全攝像頭，可以透過開放埠和可猜測的密碼進行訪問 (Adryan, Fremantle, Obermaier, 2017, p.387)，這些都是使用者應該更好地瞭解的東西。事件發生後，安全問題成為熱門話題，甚至激發了 Minim 等公司的成立，這些公司致力於建立以物聯網為中心的消費者安全平臺 (Hitchcock, 2018)。面向消費者和行業領導者的安全幫助填補了製造商之間不同標準的差距，這是物聯網裝置變得越來越普遍的必要條件。

法律是社會不可分割的一部分，它需要用來規範現存的和新出現的事物。物聯網也不例外。世界上有許多法律在物聯網領域發揮著作用。不幸的是，這些法律和法規可能被認為是缺乏的。這是因為法律“往往過於狹隘地起草，無法涵蓋所有新技術的實現方式” (McMeley, 2014, p.71)。物聯網正在不斷發展，瞭解當前影響物聯網的隱私相關法律至關重要。通過了解現有的基礎，可以考慮適當的解決方案，制定新的法律或調整舊的法律，以妥善解決源於物聯網的眾多隱私問題。

在美利堅合眾國，現行的法規根據其是聯邦立法、州立法還是行政機構執行來分類 (Tran, 2017, p.273)。這些現行法規側重於整體隱私，而不是直接與物聯網等技術相關的隱私。健康保險流通與責任法案 (HIPAA)、兒童線上隱私保護法案 (COPPA) 和公平信用報告法案 (FCRA) 屬於聯邦立法，可用於監管物聯網 (Tran, 2017, p.274)。HIPAA 涉及健康和醫療資訊，COPPA 保護與兒童相關的資訊，FCRA 涉及信用資訊。各州的州立法各不相同，由於這些差異，在物聯網隱私方面存在灰色地帶，造成了很多混亂。

聯邦貿易委員會 (FTC) 制定的法規被視為執行機構的強制執行措施。該機構受 FTC 法案約束，該法案“規定‘在商務活動中或影響商務活動的欺詐或不公平行為或做法’是非法的”（Tran，2017，第 276 頁）。FTC 不害怕運用這一權力，正如 TRENDnet 遭遇其物聯網攝像頭被入侵時所表現出來的那樣。這些攝像頭記錄的資訊，許多人認為是敏感的。更糟糕的是，TRENDnet 無法妥善設定安全防範措施來應對這些裝置中存在的任何隱私和安全漏洞（Tran，2017，第 277 頁）。然而，FTC 在全國範圍內完全執行任何措施以保護所有公民的隱私方面受到限制，因為如果情況超出其許可權範圍，他們無能為力。

相比之下，歐洲國家擁有第 29 工作組，而不是 FTC，專注於資料安全和隱私（Poudel，2017，第 1019 頁）。除此之外，他們還有《通用資料保護條例》（GDPR），該條例於 2018 年 5 月生效。該條例考慮了物聯網的許多隱私相關問題。相關的物聯網標準涉及“知情同意、通知義務、設計中的隱私和預設的隱私、資料保護影響評估、演算法透明度、自動化決策和畫像”（Wachter，2018a，第 3 頁）。這絕不是完美的解決方案，因為 GDPR 的許多條款在物聯網裝置及其資料控制器的運作方式之間存在衝突，但它仍然是朝著保障物聯網和我們隱私邁出的一步。

Adryan, B., Fremantle, P., & Obermaier, D. (2017). 物聯網的技術基礎，381-414。

   https://library-books24x7-com.ezproxy.gl.iit.edu/assetviewer.aspx?bookid=132775&chunkid=246844967&rowid=803

Corwin, E. (2011). 深度資料包檢測：塑造網際網路及其對隱私和安全的影響。資訊安全雜誌：全球視角，20（6），311–316。

   https://doi-org.ezproxy.gl.iit.edu/10.1080/19393555.2011.624162

理事會，Y. E. (2018 年 8 月 8 日)。企業物聯網的 10 大安全問題（以及如何保護自己）。2019 年 4 月 27 日檢索自

   https://www.forbes.com/sites/theyec/2018/07/31/10-big-security-concerns-about-IoT-for-business-and-how-to-protect-yourself/#38ec52c17416

Gilchrist, A. (2017). 物聯網安全問題 | 平裝本。2019 年 4 月 28 日檢索自

   https://www.barnesandnoble.com/w/IoT-security-issues-alasdair-gilchrist/1125533132

Hitchcock, J. (2018). 為什麼 Minim。檢索自

   https://www.minim.co/blog/why-minim

McMeley, C. S. (2014). 在物聯網時代保護消費者隱私和資訊。（封面故事）。反托拉斯雜誌，29（1），71–77。

Poudel, S. (2016). 物聯網：底層技術、互操作性和對隱私和安全的威脅。伯克利科技法雜誌，31，997–1021。

   https://doi-org.ezproxy.gl.iit.edu/10.15779/Z38PK26

Schultz, J. (2016). 法律與技術 我們不擁有的物聯網？ACM 通訊，59（5），36–38。

   https://doi-org.ezproxy.gl.iit.edu/10.1145/2903749

Tran, A. H. (2017). 物聯網和隱私侵權法中的潛在救濟措施。哥倫比亞法律與社會問題雜誌，50（2），263–298。

Wachter, S. (2018). 物聯網識別中的規範挑戰：隱私、畫像、歧視和 GDPR。計算機法律與安全評論，34（3），1-22。

   https://doi-org.ezproxy.gl.iit.edu/10.1016/j.clsr.2018.02.002

Wachter, S. (2018). GDPR 和物聯網：三步透明度模型。法律、創新與技術，10（2），266–294。

   https://doi-org.ezproxy.gl.iit.edu/10.1080/17579961.2018.1527479